Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2019/01/24 18:13] flacco [Benutzer anlegen] |
invis_server_wiki:administration [2019/01/24 20:29] flacco [Die Konfigurationsdateien] |
||
|---|---|---|---|
| Zeile 97: | Zeile 97: | ||
| Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | ||
| + | ===== Konsolenzugriff ===== | ||
| + | |||
| + | Für einige Administrative Tätigkeiten am invis-Server ist Zugriff auf dessen Kommandozeile unabdingbar. | ||
| + | |||
| + | //**Achtung:** Wenn Sie sich auf der Kommandozeile eines Linux-Servers bewegen, sollten Sie wissen, was Sie tun! "Ich bin **root** ich darf das." ist ein schöner und sehr zutreffender Spruch, der einem schnell auf die Füße fallen kann.// | ||
| + | |||
| + | Je nach Ausgangssituation oder Umgebung gibt es verschiedene Wege sich mit der Kommandozeile des invis-Servers zu verbinden. Verwendet wird in jedem Fall das SSH-Protokoll. | ||
| + | |||
| + | * **von einem Linux System:** Jedes Linux System verfügt von Haus aus über einen SSH-Client auf der Kommandozeile, aber das werden Sie als Linux Nutzer natürlich wissen. | ||
| + | * **von einem Windows System:** Hier empfiehlt sich die Verwendung des SSH-Clients //**[[https://www.putty.org/|putty]]**// | ||
| + | * **Mal eben von irgendwo:** Teil der administrativen Werkzeuge, die das invis-Portal im Gepäck hat, ist die Software "Shell-in-a-box", die Sie im Browser verwenden können. | ||
| + | |||
| + | Verbindungen aus dem lokalen Netz heraus können Sie unter Verwendung des SSH-Standard-Ports "22" vornehmen: | ||
| + | |||
| + | <code> | ||
| + | linux-pc:~ # ssh root@invis.invis-net.loc | ||
| + | </code> | ||
| + | |||
| + | Verbinden Sie sich via Internet benötigen Sie den "verschobenen" SSH-Port des Servers sowie des Namens unter dem der invis-Server im Internet erreichbar ist: | ||
| + | |||
| + | <code> | ||
| + | linux:-pc:~ ssh -p 53482 root@ddns.ihredomain.de | ||
| + | </code> | ||
| + | |||
| + | Das der im Beispiel genannte Port nicht allgemeingültig ist sollte klar sein. Jeder invis-Server erhält während des Setups seinen eigenen per Zufallsgenerator ausgewürfelten SSH-Port. Wenn Sie den Server nicht selbst aufgesetzt haben, erfragen Sie diesen Port bei Ihrem IT-Dienstleister. Gleiches gilt natürlich für den Hostnamen. | ||
| + | |||
| + | Bei Verwendung von "Shell In A Box", zu finden im invis-Portal unter "administration" -> "Server Administration", müssen Sie wissen, dass ein direkter Login als Benutzer "root" aus Sicherheitsgründen nicht möglich ist. Sie müssen sich zunächst als "normaler Benutzer" anmelden und dann mit: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # su - | ||
| + | </code> | ||
| + | |||
| + | die Identität von "root" annehmen. | ||
| + | |||
| + | Gleiches gilt natürlich bei der Verwendung von //**putty**//. | ||
| + | |||
| ===== Die Konfigurationsdateien ===== | ===== Die Konfigurationsdateien ===== | ||
| ==== /etc/invis/invis.conf ==== | ==== /etc/invis/invis.conf ==== | ||
| Zeile 581: | Zeile 617: | ||
| Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | ||
| - | ==== Benutzer anlegen ==== | + | ===== Benutzer- und Gruppenveraltung ===== |
| + | |||
| + | Die Verwaltung von Benutzern und Gruppen eines invis-Servers wird grundsätzlich über das invis-Portal vorgenommen. Eine weitere Möglichkeit stellen die Microsoft'schen Remote Server Administration Tools dar. Letztere sind allerdings nicht für den invis-Server optimiert. Die Verwaltung über das invis-Portal ist also vorzuziehen. | ||
| + | |||
| + | Für das Verwalten von Benutzern und Gruppen via invis-Portal, müssen Sie sich als Administrator am Portal anmelden. | ||
| + | |||
| + | Sie können mit dem Portal Benutzer und Gruppen anlegen, löschen und bearbeiten. Zum Bearbeiten von Benutzern gehört auch das Ändern von Kennwörtern. | ||
| + | |||
| + | invis-Server verfügen über eine automatische Archivierungsfunktion. Wenn Sie Benutzer oder Gruppen löschen werden deren Verzeichnisse automatisch archiviert. Die Archivierung findet immer nachts statt. Die archivierten Verzeichnisse sind anschließend in der Freigabe "archiv" zu finden den Unterverzeichnissen "\user" und "\gruppen". Da speziell die Benutzer-Archive auch persönliche Daten enthalten können ist der Zugriff auf die Freigabe "archiv" recht restriktiv gehalten. | ||
| + | |||
| + | //**Hinweis:** Achten Sie also auch aus rechtlichen Gründen darauf, wem Sie Zugriff auf die Freigabe "archiv" geben. Der Zugriff auf solche Daten sollte im Idealfall über eine entsprechende Betriebsvereinbarung rechtlich abgesichert sein.// | ||
| + | |||
| + | ==== Gruppen ==== | ||
| + | |||
| + | Die Möglichkeit Benutzer eines Computersystems zu Benutzergruppen zusammenzufassen ist beinahe so alt wie Computer überhaupt. Vor allem in Hinblick auf die Vergabe von Zugriffsrechten, beispielsweise auf Dateien oder Verzeichnisse hat das Vorteile, da es dies deutlich vereinfacht. Orientieren Sie sich bei der Rechtevergabe ausschließlich an Gruppen, müssen Sie einerseits bei der Rechtevergabe nicht alle Benutzer einzeln berücksichtigen. Es müssen also wesentlich weniger Regel vergeben werden. | ||
| + | |||
| + | Scheidet ein Mitarbeiter aus dem Unternehmen aus, müssen Sie nicht alles irgendwie und irgendwo gesetzten Zugriffsrechte überarbeiten, sondern Sie nehmen den Mitarbeiter einfach aus den entsprechenden Gruppen heraus. In aller Regel klappt letzteres auch automatisch, wenn ein Benutzerkonto gelöscht wird. Auf irgendwie und irgendwo gesetzte Zugriffsregeln trifft das nicht zu. | ||
| + | |||
| + | Auf invis-Servern entscheidet vielfach auch die Mitgliedschaft in bestimmten Gruppen darüber ob ein Benutzer eine auf dem Server installierte Software oder bestimmte Funktionen verwenden kann oder nicht. Für diese Zwecke existieren auf dem invis-Server folgende Gruppen: | ||
| + | |||
| + | - **owncloud:** Mitglieder dürfen ownCloud verwenden. | ||
| + | - **zeiterfassung:** Mitglieder dürfen die Zeiterfassungssoftware "Kimai" verwenden. | ||
| + | - **mobilusers:** Mitglieder dürfen sich via Internet am invis-Portal anmelden. | ||
| + | - **verwaltung:** Mitglieder dürfen auf die Netzwerkfreigabe "verwaltung" zugreifen. | ||
| + | - **archiv:** Mitglieder dürfen auf auf die Netzwerkfreigabe "archiv" zugreifen. | ||
| + | - **diradmins:** Mitglieder dürfen Gruppen-Verzeichnisvorlagen erstellen und bearbeiten. | ||
| + | - **wiki-nutzer:** Mitglieder haben Leserecht im Wiki. | ||
| + | - **wiki-redakteure:** Mitglieder dürfen im Wiki schreiben. | ||
| + | - **wiki-chefredakteure:** Dürfen im Wiki schreiben und auch Beiträge löschen. | ||
| + | |||
| + | Die Gruppenverwaltung finden Sie im invis-Portal unter "administration"; erforderlich ist natürlich, dass sie am invis-Portal als Administrator angemeldet sind. Sie können dort neue Gruppen anlegen, sowie bestehende Gruppen bearbeiten. D.h. Benutzer hinzufügen oder entfernen. | ||
| + | |||
| + | Wenn Sie eine neue Gruppe anlegen möchten, können Sie dabei von vorne herein ein paar Entscheidungen fällen. Sie können zunächst festlegen von welchem Typ die anzulegende Gruppe ist. Unterschieden wird zwischen drei Typen: | ||
| + | |||
| + | * **Team:** Ist eine einfache Benutzergruppe, um diese zur Vergabe von Zugriffsrechten zu verwenden. | ||
| + | * **Team+Gruppenmail:** Auch diese Gruppe kann zur Vergabe von Zugriffsrechten verwendet werden. Darüber hinaus ist sie auch für die Groupware Kopano zur Vergabe von Rechten innerhalb der Groupware verfügbar. Weiterhin können innerhalb der Groupware Mails an diese Gruppe gesendet werden. D.h. alle Mitglieder empfangen diese Mails. | ||
| + | * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. | ||
| + | |||
| + | Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird. | ||
| + | |||
| + | Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an. | ||
| + | |||
| + | Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. | ||
| + | ==== Benutzer ==== | ||
| Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) | Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) | ||
| Zeile 595: | Zeile 674: | ||
| //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | ||
| + | |||
| + | Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln: | ||
| + | |||
| + | - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden. | ||
| + | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals (siehe oben) übernommen werden. | ||
| + | |||
| + | |||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||